Phishing : comment ne pas gober l'hameçon

Phishing : comment ne pas gober l'hameçon
Photo by Le Vu / Unsplash

Le phishing, c'est la technique d'attaque numéro un. Pas la plus sophistiquée, mais la plus efficace. Parce qu'elle mise sur la seule vulnérabilité qu'on ne peut pas patcher : l'être humain.

Qu'est-ce que le phishing ?

Le phishing (ou hameçonnage) est une technique qui consiste à se faire passer pour quelqu'un de confiance (banque, fournisseur, patron, plateforme) pour vous pousser à :

  • Cliquer sur un lien piégé
  • Ouvrir une pièce jointe infectée
  • Donner vos identifiants
  • Effectuer un virement frauduleux

Les 7 signes qui ne mentent pas

  1. L'urgence — « Votre compte sera fermé dans 24h » est presque toujours une arnaque
  2. L'expéditeur douteux — Vérifiez l'adresse e-mail complète, pas juste le nom affiché. support@banque-security123.xyz n'est pas votre banque.
  3. Les fautes — Les arnaqueurs s'améliorent, mais les erreurs de grammaire restent des indices.
  4. Le lien bizarre — Survolez le lien sans cliquer. Si l'URL ne correspond pas au site annoncé, fuyez.
  5. La demande d'informations sensibles — Aucun service sérieux ne vous demande votre mot de passe par e-mail.
  6. La pièce jointe inattendue — Un .zip d'un fournisseur que vous n'avez pas ? Suspect.
  7. Le ton inhabituel — Votre DG qui demande un virement urgent, c'est la fraude au faux président.

Les variantes à connaître

Le spear phishing — Personnel, ciblé. L'attaquant personnalise le message après avoir fait ses recherches sur vous.

Le smishing — Phishing par SMS. « Votre colis est bloqué, cliquez ici ».

Le vishing — Par téléphone. Quelqu'un se fait passer pour le support Microsoft ou votre banquier.

La fraude au faux président — Un e-mail impersonnant le dirigeant, demandant un virement urgent. Coût moyen : 50 000 €.

Que faire quand on a un doute ?

  1. Ne cliquez sur rien — Ni lien, ni pièce jointe
  2. Vérifiez par un autre canal — Appelez la personne directement
  3. Signalez — Transférez à signal-spam@signal-spam.fr ou Pharos
  4. Supprimez — Supprimez l'e-mail et videz la corbeille

Comment se protéger en entreprise

  • MFA sur tout — Même si un mot de passe est volé, la MFA bloque l'accès
  • Filtre anti-phishing — Activez les filtres de votre messagerie
  • Simulateur de phishing — Testez vos équipes régulièrement
  • Procédure claire — Affichez : « Un e-mail étrange ? Ne cliquez pas. Signalez-le. »

Le phishing ne disparaîtra jamais — il évolue. Mais avec les bons réflexes et la MFA, il devient beaucoup moins dangereux.

Read more